Las DNS son importantísimas para navegar por la red, ya que nos ayudan a convertir el texto de la URL que introducimos en el navegador en su dirección IP para poder visitarla. En el caso de que alguien sea capaz de modificarlas, puede llevarnos a las páginas web que él quiera. Eso ha estado pasando con miles de routers.
Casi 15.000 routers de D-Link usan DNS falsas
Entre los afectados se encuentran modelos de la marca D-Link, con casi 15.000 usuarios hackeados. El ataque se ha llevado a cabo durante los últimos tres meses, y ha afectado a una amplia variedad de routers como los que podemos tener en casa. Para llevar a cabo el ataque, los hackers se han aprovechado de una vulnerabilidad en el firmware de estos routers que les permite hacer cambios en la configuración sin que nadie se dé cuenta. Entre los routers afectados se encuentran los siguientes modelos:
- D-Link DSL-2640B – 14,327
- D-Link DSL-2740R – 379
- D-Link DSL-526B – 7
- DSLink 260E routers – 7
- Secutech routers – 17
- TOTOLINK routers – 2,265
Como vemos, la mayoría de routers son ADSL, por lo que es muy probable que lleven años sin recibir parches ni ningún tipo de actualización de seguridad para arreglar vulnerabilidades. Los ataques se llevaron a cabo en tres oleadas diferentes en diciembre de 2018 y febrero y marzo de 2019. Además, los ataques todavía están llevándose a cabo.
El ataque funciona de manera relativamente sencilla. En primer lugar, el hacker accede al router a través de la vulnerabilidad, y cambia los ajustes de las DNS en el panel de configuración, e introduce unas que él controle. Así, por ejemplo, si el usuario va a acceder a Facebook, en realidad las DNS falsas le estarán redirigiendo a una dirección IP que el atacante controla, y que tendrá una apariencia muy parecida al Facebook real. Al loguearnos, le estaremos dando a él nuestras credenciales.
Comprueba las DNS y actualiza el firmware
Sin embargo, los investigadores no consiguieron descubrir qué páginas estaban intentando suplantar los hackers. Lo que sí descubrieron eran dos direcciones IP hosteadas en Blue Angel Host, un proveedor de alojamiento que suele ser permisivo con webs falsas y relacionadas con la ciberdelincuencia.
Este tipo de ataques no son nuevos, ya que se conocen desde hace más de una década con los llamados DNSChanger. Normalmente este tipo de ataques son raros, pero si se da con una vulnerabilidad muy extendida puede llevar a casos como el que recogemos hoy. Estos ataques normalmente van dirigidos a webs concretas, como el que afectó en 2016 a Brasil donde se suplantaban las webs de diversos bancos del país.
Por tanto, si tenéis uno de los modelos de routers del listado superior y no habéis actualizado el firmware, hacedlo y revisad las DNS de la configuración y cambiarlas manualmente por algunas de las mejores DNS que podéis poner en 2019, como las de Google o las de Cloudflare. Si entráis en la configuración y encontráis una de las siguientes cuatro IP, es que os han hackeado las DNS:
- 70.173.48
- 217.191.145
- 128.126.165
- 128.124.131
Actualización: desde D-Link han informado de que el único router europeo afectado ha sido el DSL-2740R Rev. Ax, y la vulnerabilidad que tenía ya fue parcheada en 2015. Los productos afectados por la vulnerabilidad contaban con un firmware que no se ha lanzado en Europa.